Что нужно знать о профилях конфигурации в iOS на примере истории с «МаксимаТелеком»
На прошлой неделе «МаксимаТелеком» в тестовом режиме запустила закрытую сеть Wi-Fi с использованием технологии Hotspot 2.0 в московском метро. В этой статье разбираемся, что это за технология и как она может повлиять на безопасность интернет-соединения пользователей.
Подключиться к новой сети Wi-Fi пока могут только пользователи iPhone и других iOS-устройств. Для этого нужно зайти на специальную страницу (на момент публикации статьи выдачу профилей приостановили) и установить оттуда профиль конфигурации.
Что такое профили конфигурации для устройств Apple
Профиль в iOS — это набор сконфигурированных настроек. Устанавливая профиль на своё устройство, вы применяете все зашитые в нём параметры. Так можно вносить изменения в том числе в скрытые настройки, конфигурация которых недоступна из стандартного пользовательского интерфейса.
Профили конфигурации — очень мощный инструмент. С их помощью можно устанавливать и настраивать приложения, устанавливать сертификаты безопасности, изменять настройки мобильной сети, настройки Wi-Fi, VPN и прокси, получать местонахождение пользователя и даже дистанционно заблокировать устройство или стереть с него все данные.
Для чего нужны профили конфигурации
У профилей на iOS множество применений. Например, школы и компании используют для управления корпоративными устройствами сотрудников и учеников.
Такие профили, которые используются для удалённого управления устройствами, называются MDM-профилями (Mobile Device Management).
Разработчики тоже активно используют профили — для установки непубличных бета-версий iOS или для установки приложений, которые отсутствуют в AppStore.
Также профили можно использовать для банальной конфигурации каких-то параметров, которые скрыты от пользователя, — как это и сделано в случае «МаксимаТелеком». Кстати, некоторые приложения, которые предоставляют доступ через VPN, тоже используют профили конфигурации в iOS.
Как и в случае почти с любой другой технологией, злоумышленники тоже могут использовать профили конфигурации. Установив соответствующий профиль на чьё-то устройство, они могут, например, подменить сертификат безопасности.
Последнее позволит перехватывать трафик, модифицировать контент на просматриваемых страницах, выполнять вредоносный код на устройстве, встраивать собственную рекламу в контент страниц.
Вот что говорит об использовании профилей конфигурации в iOS для атаки на пользователей специалист по безопасности Алекс Пацай, автор блога alexmak.net и Telegram-канала «Информация опасносте»:
Чтобы пользователи понимали, какие профили ставить стоит, а какие нет, существует система подписывания профилей специальными сертификатами безопасности. Поэтому при установке профиля нужно очень внимательно смотреть на то, кто подписывал сертификат.
Если у вас возникают сомнения, доверять ли его автору, профиль устанавливать не стоит. Кроме сертификата также нужно смотреть, какие именно настройки изменяет профиль.
Зачем такая технология нужна в метро
Решение, которое предоставляет «МаксимаТелеком» в виде закрытой сети Wi-Fi, по своей сути, добавляет дополнительный уровень безопасности.
Если ранее любой, кто находился с вами в одном вагоне, мог с помощью несложных манипуляций перехватывать весь ваш незашифрованный трафик, то теперь это будет невозможно.
В закрытой сети у каждого пользователя есть свой логин и пароль для подключения, которые передаются с помощью установки профиля конфигурации. Таким образом, весь трафик зашифрован. В первую очередь этот подход обезопасит обмен трафиком, который не защищен с помощью SSL.
Сергей Вахотин, архитектор-аналитик «МаксимаТелеком» приводит следующие причины для запуска закрытой сети:
Человеческий фактор и возможные риски
Хотя подход «МаксимаТелеком» и делает соединение пользователей более безопасным и в текущем виде работает в тестовом режиме (в дальнейшем изменение настроек будет происходить через приложение, а не с помощью установки профилей), он создаёт интересный прецедент.
Один из потенциальных минусов, которые он может за собой повлечь, связан как раз с практикой установки профилей конфигурации обычными пользователями. Если их приучат, что поставить какой-то профиль на своё iOS-устройство это рутинная задача, то это открывает много путей атаки для злоумышленников. И причина кроется не в самой технологии, а в людях.
Среднестатистический человек вряд ли будет обращать внимание на подпись сертификата профиля или разбираться, какие именно настройки будут применены. В большинстве случаев процесс будет идти по классическому пути «далее, далее, принимаю, согласен, далее, готово», несмотря на все предупреждения системы.
А следовательно, возрастает и вероятность того, что найдутся желающие поживиться за счёт невнимательных пользователей. Например, с помощью распространения собственных фальшивых профилей под видом настроек для сети Wi-Fi или ещё чего-либо.
С увеличением количества сервисов, которые будут требовать изменение настроек через установку профилей, особенно в таких массовых местах как метро, важным аспектом становится донесение до людей важности внимательной проверки профилей и серьезности возможных последствий.
Ведь люди до сих пор в больших количествах попадаются на фишинг, сами устанавливают левые приложения, майнеры криптовалют и продолжают жевать кактус самым разными способами.
Подробнее о профилях конфигурации в iOS, технологии Hotspot 2.0 и потенциальных опасностях, которые несут новые сети Wi-Fi в московском метро, слушайте в специальном выпуске подкаста BeardyCast с участием экспертов по сетевой безопасности и архитектора-аналитика «МаксимаТелеком» Сергея Вахотина.
Слушать на других платформах:
А зачем это Thawte CA Cert подменять?
Комментарий недоступен
Чтобы встраивать рекламу в https трафик
Госсертификаты для доступа в интернет. С защитой от хакеров.
Они все ближе!
Потом просто введут аналогичную приблуду для не-ios устройств и отрубят дефолтный MT_FREE.
А потом google, firefox и apple просто забанят этот сертификат, как случилось с казахсанским
Комментарий недоступен
Если этот протокол будет установлен, то как его удалить с устройства?
В настройках айфона можно просмотреть все установленные сертификаты. Настройки - основные - об этом устройстве - сертификаты. И там уже смотреть установленные сертификаты и удалять их
Отлично, спасибо. У меня пока нет никаких сертификатов.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором